Collector 설치

KYRA Collector는 네트워크 내부에서 실행되는 경량 에이전트입니다. 보안 텔레메트리를 수집, 정규화하고 KYRA MDR 플랫폼으로 안전하게 전달합니다.

요구 사항:

*.seekerslab.com에 대한 아웃바운드 HTTPS (포트 443)
최소 1 vCPU, 512 MB RAM
로그 버퍼링을 위한 1 GB 디스크 공간

Linux 설치

원라인 설치 (권장)

curl -sSL https://install.kyra.ai/collector | sudo bash

이 명령은 다음을 수행합니다:

Linux 배포판을 감지합니다 (Ubuntu, Debian, RHEL, CentOS, Amazon Linux)
최신 collector 바이너리를 다운로드합니다
kyra-collector systemd 서비스를 생성합니다
고유한 collector ID를 생성하고 테넌트에 등록합니다
서비스를 시작하고 syslog 포트 514에서 수신을 시작합니다

수동 설치

수동으로 설치하거나 폐쇄망 환경에서 운영하는 경우:

# Download the binary
wget https://releases.seekerslab.com/collector/latest/kyra-collector-linux-amd64.tar.gz

# Extract
tar -xzf kyra-collector-linux-amd64.tar.gz -C /opt/kyra/

# Copy the systemd unit file
sudo cp /opt/kyra/kyra-collector.service /etc/systemd/system/

# Edit the configuration
sudo vi /opt/kyra/config.yaml

구성 파일

구성 파일은 /opt/kyra/config.yaml에 위치합니다:

# KYRA Collector Configuration
tenant_id: "your-tenant-id"          # Found in Console > Settings > Organization
api_key: "your-collector-api-key"     # Generated in Console > Settings > Collectors
platform_url: "https://ingest.seekerslab.com"

# Syslog listener
syslog:
  enabled: true
  udp_port: 514
  tcp_port: 514

# Windows Event Log (Linux: disabled)
windows_events:
  enabled: false

# Log buffering
buffer:
  path: /var/lib/kyra/buffer
  max_size_mb: 500

# TLS settings
tls:
  verify: true
  ca_cert: /opt/kyra/certs/ca.pem

서비스 시작

sudo systemctl daemon-reload
sudo systemctl enable kyra-collector
sudo systemctl start kyra-collector

Windows 설치

PowerShell 설치 프로그램

PowerShell을 관리자 권한으로 실행합니다:

# Download and run the installer
Invoke-WebRequest -Uri "https://install.kyra.ai/collector/windows" -OutFile "$env:TEMP\kyra-collector-setup.msi"
Start-Process msiexec.exe -ArgumentList "/i $env:TEMP\kyra-collector-setup.msi /quiet" -Wait

수동 설치

Console 다운로드 페이지에서 MSI 설치 프로그램을 다운로드합니다
설치 프로그램을 실행합니다 — Tenant ID와 API Key를 입력하라는 메시지가 표시됩니다
설치 프로그램이 Windows 서비스 KYRA Collector를 생성합니다

Windows 구성

구성 파일은 C:\Program Files\KYRA\Collector\config.yaml에 위치합니다:

tenant_id: "your-tenant-id"
api_key: "your-collector-api-key"
platform_url: "https://ingest.seekerslab.com"

syslog:
  enabled: true
  udp_port: 514
  tcp_port: 514

windows_events:
  enabled: true
  channels:
    - Security
    - System
    - Application
    - Microsoft-Windows-Sysmon/Operational

buffer:
  path: "C:\\ProgramData\\KYRA\\buffer"
  max_size_mb: 500

서비스 관리

# Check status
Get-Service "KYRA Collector"

# Restart
Restart-Service "KYRA Collector"

# View logs
Get-Content "C:\ProgramData\KYRA\logs\collector.log" -Tail 50

Docker 설치

Docker Run

docker run -d \
  --name kyra-collector \
  --restart unless-stopped \
  -p 514:514/udp \
  -p 514:514/tcp \
  -e KYRA_TENANT_ID="your-tenant-id" \
  -e KYRA_API_KEY="your-collector-api-key" \
  -v kyra-buffer:/var/lib/kyra/buffer \
  kyra/collector:latest

Docker Compose

version: "3.8"
services:
  kyra-collector:
    image: kyra/collector:latest
    container_name: kyra-collector
    restart: unless-stopped
    ports:
      - "514:514/udp"
      - "514:514/tcp"
    environment:
      - KYRA_TENANT_ID=your-tenant-id
      - KYRA_API_KEY=your-collector-api-key
      - KYRA_PLATFORM_URL=https://ingest.seekerslab.com
    volumes:
      - kyra-buffer:/var/lib/kyra/buffer

volumes:
  kyra-buffer:

연결 확인

설치 후 collector가 연결되었는지 확인합니다:

1. 로컬 상태 확인

# Linux
sudo systemctl status kyra-collector
sudo journalctl -u kyra-collector --since "5 minutes ago"

# Docker
docker logs kyra-collector --tail 20

다음과 같은 내용을 확인합니다:

INFO  Connected to KYRA platform (ingest.seekerslab.com)
INFO  Collector registered: collector-id=abc123
INFO  Syslog listener started on :514

2. Console에서 확인

KYRA MDR Console을 엽니다
Settings > Collectors로 이동합니다
collector가 녹색 Connected 상태로 표시되어야 합니다
Last Seen 타임스탬프가 최근 1분 이내여야 합니다

3. 테스트 이벤트 전송

# Send a test syslog message to the collector
logger -n 127.0.0.1 -P 514 "KYRA-TEST: Collector installation verified"

Console의 Log Search에서 확인합니다 — 테스트 메시지가 수초 내에 나타나야 합니다.

문제 해결

Collector가 시작되지 않는 경우

증상	원인	해결 방법
`Permission denied`	root로 실행하지 않음	`sudo`로 실행
`Port 514 already in use`	다른 syslog 데몬이 실행 중	rsyslog 중지: `sudo systemctl stop rsyslog`
`Connection refused`	방화벽이 아웃바운드 차단	`*.seekerslab.com`에 대한 아웃바운드 HTTPS (443) 허용

Collector가 Console에 나타나지 않는 경우

API 키 확인: config.yaml의 api_key가 Console > Settings > Collectors의 키와 일치하는지 확인
네트워크 확인: curl -I https://ingest.seekerslab.com/health가 200을 반환해야 합니다
로그 확인: journalctl -u kyra-collector -f로 오류 메시지를 확인합니다
DNS 확인: ingest.seekerslab.com이 올바르게 resolve되는지 확인합니다

이벤트가 나타나지 않는 경우

소스 확인: 장비가 실제로 syslog를 보내고 있는지 확인합니다. collector 호스트에서 tcpdump -i any port 514를 실행합니다
버퍼 확인: 버퍼가 가득 차면 collector가 이벤트 수신을 중단합니다. /var/lib/kyra/buffer의 디스크 공간을 확인합니다
속도 제한 확인: FREE 티어는 50 EPS로 제한됩니다. 이를 초과하면 업그레이드하세요

프록시 구성

네트워크에 HTTP 프록시가 필요한 경우:

# Add to config.yaml
proxy:
  http: "http://proxy.example.com:8080"
  https: "http://proxy.example.com:8080"
  no_proxy: "localhost,127.0.0.1"

Collector 업데이트

Linux

# The collector auto-updates by default. To update manually:
curl -sSL https://install.kyra.ai/collector | sudo bash

Docker

docker pull kyra/collector:latest
docker stop kyra-collector && docker rm kyra-collector
# Re-run your docker run command

제거

Linux

sudo systemctl stop kyra-collector
sudo systemctl disable kyra-collector
sudo rm /etc/systemd/system/kyra-collector.service
sudo rm -rf /opt/kyra/
sudo rm -rf /var/lib/kyra/

Windows

# Via PowerShell (Admin)
Start-Process msiexec.exe -ArgumentList "/x {KYRA-COLLECTOR-PRODUCT-CODE} /quiet" -Wait

또는 Windows 설정에서 프로그램 추가/제거를 사용합니다.

Docker

docker stop kyra-collector && docker rm kyra-collector
docker volume rm kyra-buffer